技术特征:
1.一种配电物联网边缘物联代理网络安全防护方法,其特征在于,包括:基于边缘物联代理对物联网终端和物联管理平台进行可信认证;当所述可信认证通过后,将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理;或将所述边缘物联代理中的数据加密后,通过密文传输的方式传输到所述物联管理平台,进行解密后上传到配电物联网的应用层。2.根据权利要求1所述的方法,其特征在于,所述基于边缘物联代理对物联网终端和物联管理平台进行可信认证,包括:启动所述边缘物联代理中的可信启动机制;当所述可信启动机制的结果为成功时,采用数字证书认证机制完成所述物联网终端、所述物联管理平台和所述边缘物联代理的身份互认和密文协商。3.根据权利要求2所述的方法,其特征在于,所述启动所述边缘物联代理中的可信启动机制,包括:基于硬件flash,计算在边缘物联代理内片上系统中的硬件信任根的根证书hash值,并和所述片上系统中的一次性可编程存储器的数值进行判断,如果数值一致则证书合法,继续下一步,如果数值不一致则证书被篡改,终止启动过程;根据所述硬件信任根的根证书公钥,校验的boot文件尾的签名,若校验成功则继续下一步,校验失败则终止启动过程;根据所述boot文件包中的证书公钥,校验os文件尾的签名,若校验成功则继续下一步,校验失败则终止启动过程;根据所述os文件包中的证书公钥,校验app文件尾的签名,若校验成功则在所述边缘物联代理内的可信启动机制启动成功,若校验失败则终止启动过程。4.根据权利要求2所述的方法,其特征在于,所述当所述可信启动机制的结果为成功时,采用数字证书认证机制完成所述物联网终端、所述物联管理平台和所述边缘物联代理的身份互认和密文协商,包括:当可信启动机制的结果为成功时,采用数字证书认证机制在所述物联网终端、所述物联管理平台和所述边缘物联代理进行密钥协商过程中,完成身份互认环节。5.根据权利要求4所述的方法,其特征在于,在所述物联网终端和所述边缘物联代理进行密钥协商过程中,完成身份互认环节,包括:在所述物联网终端和所述边缘物联代理进行密钥协商过程中,将所述物联网终端出厂时预置的边缘物联代理证书发给所述边缘物联代理,通过所述边缘物联代理验证所述证书,确定所述证书是否合法,如果为是则认定物联网终端认证成功;基于所述物联网终端出厂时预置的边缘物联代理证书采用sm2签名算法通过发送协商报文签名值的方式进行验证,确定所述边缘物联代理是否合法,如果结果为是则认定边缘物联代理认证成功;当所述物联网终端和所述边缘物联代理均认证成功时,则确定所述物联网终端与所述边缘物联代理完成身份互认环节。6.根据权利要求4所述的方法,其特征在于,当所述可信启动机制的结果为成功时,采用数字证书认证机制完成所述物联管理平台和所述边缘物联代理的身份互认,包括:
当所述可信启动机制的结果为成功时,采用数字证书认证机制在所述物联管理平台与所述边缘物联代理之间建立网络连接;根据所述网络连接,向所述物联管理平台发送认证申请报文;根据所述认证申请报文产生第一随机数发送给所述边缘物联代理;从所述边缘物联代理中取第二随机数,将所述第一随机数加上所述第二随机数签名后发送给所述物联管理平台;对所述物联管理平台用所述边缘物联代理证书验证签名有效性,从而完成所述物联管理平台对所述边缘物联代理的身份认证;基于所述物联管理平台对所述边缘物联代理第二随机数签名,将签名结果发送所述边缘物联代理,对所述边缘物联代理验证所述物联管理平台签名的正确性,从而完成所述边缘物联代理对所述物联管理平台的身份认证。7.根据权利要求1所述的方法,其特征在于,所述当所述可信认证通过后,将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理之后,还包括:在所述边缘物联代理中对加密后的运行状态数据进行解密操作,并验证所述运行状态数据的完整性。8.根据权利要求1所述的方法,其特征在于,所述当所述可信认证通过后,将所述边缘物联代理中的数据加密后,通过密文传输的方式传输到所述物联管理平台,进行解密后上传到配电物联网的应用层之前,还包括:使用网关对所述边缘物联代理加密后的所述物联网终端采集的所述运行状态数据在链路层进行一次解密,并通过密文传输的方式传输到所述物联管理平台。9.一种配电物联网边缘物联代理网络安全防护系统,其特征在于,包括:物联网终端,用于采集配电物联网的运行状态数据上传至边缘物联代理;边缘物联代理,用于物联网终端和物联管理平台进行可信认证;还用于接收加密后的物联网终端采集的配电物联网的运行状态数据;还用于对采集的数据进行加密后通过密文传输的方式传输到物联管理平台;物联管理平台,用于对加密后的物联网终端采集的配电物联网的运行状态数据进行解密上传到配电物联网的应用层。10.根据权利要求9所述的系统,其特征在于,还包括:网关;所述网关在所述物联管理平台和所述边缘物联代理之间,并通过通信进行连接,用于对所述边缘物联代理加密后的所述物联网终端采集的所述运行状态数据在链路层进行一次解密,并通过密文传输的方式传输到所述物联管理平台。
技术总结
本发明提供了一种配电物联网边缘物联代理网络安全防护方法及系统,包括:基于边缘物联代理对物联网终端和物联管理平台进行可信认证;当所述可信认证通过后,将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理;或将所述边缘物联代理中的数据加密后,通过密文传输的方式传输到所述物联管理平台,进行解密后上传到配电物联网的应用层;本发明提高了电网数据在边缘物联代理中的安全性和隐私性。中的安全性和隐私性。中的安全性和隐私性。
技术研发人员:何连杰 李二霞 亢超群 李玉凌 杨红磊 张波 常方圆 孙智涛 许保平 樊勇华
受保护的技术使用者:国网上海能源互联网研究院有限公司 国家电网有限公司 国网浙江省电力有限公司电力科学研究院
技术研发日:2020.11.17
技术公布日:2022/6/4